Am Mittwoch, 1. Oktober 2003 15:04 schrieb Filip Lyncker:
Das wirft bei mir jetzt eine grundsaetzliche frage auf. Klar openssh laesst sich einfach updaten per YOU. Was aber wenn ich ein Programm verwenden will , dass nicht in der neusten version oder garnicht von Suse gepflegt wird ? Zum beispiel ist bei der Suse 8.1 nur die IPSEC Version 1.97 oder so dabei , aktuell ist aber die 2.x , bei der sich einiges geaendert hat. Wenn ich die nun verwenden moechte , hab ich mit dieser Distri ein Problem, nicht? Ich muss es doch deshalb selbst kompilieren.
Wenn Du diese neue Version benötigst und sie nirgens als fertiges RPM findest (z.B. bei Packman), musst Du selbst compilieren, richtig.
Angenommen dieses Programm benutzt jetzt Openssl, bei dem gerade die Sicherheitslöcher entdeckt worden sind. Wenn ich jetzt das Paket von Suse mit YOU update , sollte openssl anschliessend sicher sein. In
Sollte es.
wie weit greift jetzt das IPSEC Paket nur auf die natuerlich jetzt geaenderten shared libs zu ? Hat es denn nicht auch .h und .cpp
Naja, die alte gibts nichtmehr, also muß es zwangsweise auf die neue gehen, es sei denn, sie wurden statisch reingelinkt, dann muß auch dieses Paket aktualisiert werden.
files aus dem Include von dem alten openssl-devel mitgenommen und fest im eigenen Programmcode verbastelt , sodass mein IPSEC Programm immernoch nicht sicher ist?
Normalerweise werden Bibliotheken dynamisch hinzugeladen. Die includes (.h-Dateien) sollten eigentlich keine Sicherheitslücken enthalten, da sie Strukturen und Variablen, aber keinen Programmcode enthalten. Damit es da zu keinen Inkompatibilitäten kommt, liefert SuSE ja auch keine neuen Versionen per YOU, sondern bereinigt die besthenden.
Das IPSEC ist nur ein Beispiel bei dem ich weiss, dass bei der Suse nicht die aktelle version beiliegt, ich bin aber nicht ganz sicher ob das Openssl problem da zutifft. Sicherer bin ich da schon bei cyrus-sasl. Das hab ich kompiliert und es includiert definitiv die sourcen vom aktuell installierten openssl. Also nochmal die Fragen :
1. Wenn die Distribution nicht die gewünschte Version meines Programms unterstützt - muss ich selbst kompilieren ?
Wenn Du es brauchst ja. Solltest Dir aber dreimal überlegen, ob Dir die neue Version wirklich entsprechende Vorteile bringt und ob die Probleme, die Du Dir damit eventuell einhandelst, den Nutzwert nicht übersteigt. Die mitgelieferte Version wurde mit der Softwarekonstellation getestet und sollte laufen. Sie wird von SuSE gewartet und Bugs/Sicherheitslücken gefixed. Bei eigenen Versionen musst Du Dich um solche Sachen selbst kümmern.
2. Wenn sowas passiert, reicht es wohl nicht mehr aus einfach mit YOU z.B. Openssl zu updaten, sondern ich muss anschliessend meine selbstkompilierten programme neu übersetzten.
Nicht unbedingt, siehe oben.
3. Erkennt jemand in meiner Vorgehensweise einen grundsaetzlichen Fehler oder würde es anders machen ?
Nö. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de